Inzwischen gibt es drei verschiedene DFN-PCA-Zertifikate im Sicherheitsniveau Global, ausgestellt im:
- Dezember 2006
- Februar 2014
- Juli 2014
Das DFN-PCA Zertifikat von Februar 2014 darf nicht mehr verwendet werden. Die Hintergründe hatten wir beschrieben: Austausch des DFN-PCA-Zertifikats, Sicherheitsniveau Global
Insbesondere auf Servern könnte dieses DFN-PCA-Zertifikat installiert worden sein, und von dort während des SSL-Handshakes an Clients verteilt werden.
Da es bei vielen Servern recht mühsam ist, in allen Konfigurationen nachzuschauen, haben wir ein kleines Skript entwickelt, was als Client prüft, welches DFN-PCA-Zertifikat ausgeliefert wird. Es ist verfügbar unter: https://info.pca.dfn.de/doc/testserver.sh
Das Skript wird mit dem Namen des zu testenden Servers aufgerufen, optional mit dem Port. Als Beispiel:
$ ./testserver.sh www.dfn.de OK: www.dfn.de:443 liefert das PCA-Zertifikat von Juli 2014 aus. Aktuell besteht für Sie kein Handlungsbedarf.
Das Skript kann nur HTTP-Server testen. Für SMTP- oder IMAP-Server mit STARTTLS muss entweder eine Anpassung vorgenommen oder doch die Serverkonfiguration direkt untersucht werden.
(jbr, 14.08.2014)